Blog / Sicherheitslücke beim Entsperren von Hub-Tresoren: Update Erforderlich

Wir haben ein wichtiges Sicherheitsupdate für alle Cryptomator-Client-Apps veröffentlicht, das eine Schwachstelle behebt, die alle Nutzer betrifft, die Hub-verwaltete Tresore entsperren.

Erforderliche Maßnahme

Bitte aktualisiert umgehend alle Cryptomator-Client-Anwendungen, die auf Hub-verwaltete Tresore zugreifen, auf die korrigierten Versionen:

• Cryptomator 1.19.1 für Desktop
• Cryptomator 1.12.3 für Android
• Cryptomator 2.8.3 für iOS

Alle Downloads findet ihr auch auf unserer Downloads-Seite.

Nach dem Update zeigen Cryptomator-Clients, die sich mit selbst gehosteten Hub-Instanzen verbinden, einmalig einen „Diesem Host vertrauen?"-Dialog an, der individuell bestätigt werden muss. Bitte überprüft vor der Bestätigung, dass die angezeigte Hub-URL korrekt ist und mit eurer Cryptomator-Hub-Instanz übereinstimmt. Clients, die sich mit Cryptomator Hub Managed verbinden, sind von diesem Dialog nicht betroffen, da verwaltete Domains automatisch als vertrauenswürdig eingestuft werden.

Sind meine Tresore sicher?

Ja. Da Cryptomator Hub Ende-zu-Ende-Verschlüsselung verwendet, waren Tresordaten zu keinem Zeitpunkt in Gefahr.

Welche Tresore sind betroffen?

Die Schwachstelle befindet sich im Entsperr-Workflow von Hub-verwalteten Tresoren. Lokale Tresore sind nicht betroffen.

Welche Daten sind gefährdet?

Ein Angreifer mit Schreibzugriff auf die verschlüsselten Daten könnte den Tresor so manipulieren, dass Cryptomator ein Session-Token an einen bösartigen Server sendet. Das abgegriffene Token kann dann verwendet werden, um sich als Nutzer auszugeben und auf unverschlüsselte Informationen wie Benutzernamen, Tresornamen usw. in Hub zuzugreifen.

Wurde die Schwachstelle ausgenutzt?

Zum jetzigen Zeitpunkt liegen uns keine Hinweise auf eine aktive Ausnutzung dieser Schwachstelle vor.

Sicherheitshinweise

Im Rahmen der verantwortungsvollen Offenlegung werden die vollständigen Sicherheitshinweise am 20. März veröffentlicht. Bis dahin sind die folgenden Links noch nicht erreichbar — das ist beabsichtigt:

• Desktop: CVE-2026-32303
• Android: CVE-2026-32317
• iOS: CVE-2026-32318

Wie kann ich Hilfe erhalten?

Bei weiteren Fragen oder wenn ihr Unterstützung beim Update benötigt, zögert nicht, uns unter [email protected] zu kontaktieren.